El delegado de protección de datos, DPD o DPO (por sus siglas en inglés), es una de las grandes novedades del Reglamento Europeo de Protección de Datos (RGPD) y uno de los mayores quebraderos de cabeza para las empresas y organizaciones, al verse en la obligación de nombrar a otro responsable con independencia suficiente para el ejercicio de sus funciones de supervisión y control del cumplimiento, muy en la línea de la actuación realizada por el Compliance Officer.
Al contrario de lo que se suele pensar, el RGPD en su redacción actual no excluye de esta obligación a ningún tipo de empresa u organización por su número de empleados (la referencia a los 250 empleados se eliminó del texto finalmente aprobado), siendo obligatorio, de conformidad al artículo 37 del Reglamento, en tres supuestos concretos:
- Autoridad u organismo público (administraciones públicas, principalmente).
- La actividad principal del responsable o encargado del tratamiento requiera tratar datos de manera habitual y analítica.
- Tratamiento a gran escala de datos especialmente protegidos (ideología, etnia, afiliación sindical, salud…) o relativos a infracciones penales.
De conformidad con este mismo artículo, el DPO podrá ser una tercera empresa contratada, una persona física externa o parte del personal de la empresa. A mayores ¿cabría la posibilidad de que fuera un comité interno u órgano colegiado?
Tanto el RGPD como el proyecto de la nueva Ley Orgánica de Protección de Datos , no prohíben expresamente la posibilidad de que el DPO se configure como un órgano colegiado o corresponsable dentro de la organización, por lo que podemos entender que siempre que se garantice el cumplimiento del RGPD, se apliquen las medidas de seguridad necesarias para mantener los datos personales y se fijen unos datos de contacto únicos (al estilo de lo realizado por la Unión Europa con su propio DPO) para el ejercicio de derechos y la comunicación con la AEPD, sería completamente válido y adecuado al nuevo marco legal.
En conclusión, el DPO es la figura encargada principalmente de supervisar el cumplimiento del RGPD, asesorar y servir de enlace con las autoridades de control, en la organizaciones y empresas que tenga la obligación de nombrarlo o contratarlo por razón del tratamiento de datos personales que hagan y no por su número de empleados.